Рекомендация Debian по безопасности

DLA-91-1 tomcat6 -- обновление безопасности LTS

Дата сообщения:
23.11.2014
Затронутые пакеты:
tomcat6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 299635, Ошибка 608286, Ошибка 654136, Ошибка 659748, Ошибка 664072, Ошибка 665393, Ошибка 666256, Ошибка 668761.
В каталоге Mitre CVE: CVE-2012-3439, CVE-2013-1571, CVE-2013-4286, CVE-2013-4322, CVE-2013-4590, CVE-2014-0033.
Более подробная информация:

Данное обновление tomcat с версии 6.0.35 (версия, которая была ранее доступна в squeeze) до версии 6.0.41, полный список изменений между этими версиями можно посмотреть в журнале изменений основной ветки разработки, которая доступна по адресу http://tomcat.apache.org/tomcat-6.0-doc/changelog.html

Данное обновление исправляет следующие проблемы безопасности, которые ранее не были исправлены в squeeze:

  • CVE-2014-0033

    Предотвращение атак удалённых злоумышленников по фиксации сессии с помощью специально сформированных URL.

  • CVE-2013-4590

    Предотвращение утечек внутренней информации Tomcat.

  • CVE-2013-4322

    Предотвращение атак удалённых злоумышленников с целью вызова отказа в обслуживании.

  • CVE-2013-4286

    Отклонение запросов с множественными заголовками с указанием длины содержимого или с одним заголовком с указанием длины содержимого, но при использовании порционной кодировки.

  • CVE-2013-1571

    Избегание CVE-2013-1571 при порождении Javadoc.

  • CVE-2012-3439

    Различные улучшения аутентификатора DIGEST.

В Debian 6 Squeeze эти проблемы были исправлены в пакете tomcat6 версии 6.0.41-2+squeeze5

Благодарим Тони Манчилли за большую часть работы над этим обновлением!